TrueCrypt oder BitLocker sind für uns kein Thema

Wenn sich im Rahmen einer forensischen Analyse herausstellt, dass ein Rechner verschlüsselt ist oder z.B. verschlüsselte Daten enthält, gibt es in der Regel nur wenige Möglichkeiten, auf die dort enthaltenen Informationen zuzugreifen. Wenn man nicht auf brute-force Angriffe ausweichen möchte, bestehen die größten Erfolgschancen in den Fällen, in denen der Rechner noch angeschaltet ist und sich das benötigte Passwort im RAM befindet.

Bereits vor einiger Zeit hatte der Angriff von Forschern der Universität Princeton für Aufsehen gesorgt, das RAM mit Eisspray für kurze Zeit zu konservieren, so dass die dort enthaltenen Daten ausgelesen werden können. Einen ähnlichen Weg verfolgen Hotplug-Systeme, mit denen ein Rechner vom Strom getrennt und dennoch weiterbetrieben werden kann, so dass sich auch ein Desktop-PC ins Labor befördern lässt, ohne dass man ihn ausschalten müsste. Die Firma Passware wählt nun einen dritten Weg, um an die benötigten Daten zu gelangen. Mit Hilfe der Firewire-Schnittstelle soll direkt auf die Informationen im RAM zugegriffen werden, so dass anschließend das Memory-Image näher analysiert und zur Dechiffrierung der auf der Festplatte gespeicherten Daten genutzt werden kann. Auf diese Weise sollen über 180 verschiedene Dateitypen entschlüsselbar sein.

Die Ersteller von Truecrypt weisen in der Dokumentation explizit auf diese Gefahr hin: TrueCrypt ist danach frei übersetzt ein Festplattenverschlüsselungsprogramm und kann keine Auswirkungen auf Daten nehmen, die sich im RAM befinden. Daher gibt es neben dem Angriff auf das RAM auch die Möglichkeit, Daten in Dateien mit Zwischenspeicherungen anzugreifen (z.B. Pagefiles, in denen RAM-Daten temporär ausgelagert werden oder Hibernation Files, in denen die Daten des RAM für den Übergang in den Ruhezustand abgelegt werden).

Ebenso wie der Angriff von Dan Egerstad auf Endknoten des Tor-Netzwerks, die – sofern vom Nutzer nicht anders konfiguriert – ihre Daten unverschlüsselt weiterleiten, zeigt sich auch hier, dass es nicht reicht, eine Software einfach nur zu installieren und zu nutzen, man muss auch verstanden haben, wie sie funktioniert, um mögliche Risiken rechtzeitig zu erkennen…